Microsoft anunciou seus planos para expandir o uso do Kerberos, seu protocolo de segurança preferido, e eliminar gradualmente o NTLM (NT LAN Manager), um protocolo considerado menos seguro e menos extensível. Kerberos tem sido o principal protocolo de autenticação para várias versões do Windows há mais de duas décadas. O NTLM continuou a ser usado em algumas situações, principalmente porque não exige uma conexão de rede local com um controlador de domínio.
Complicações com aplicativos conectados
A mudança para a exclusividade do protocolo Kerberos, no entanto, apresenta um desafio no que diz respeito a aplicativos e serviços conectados para usar NTLM. Embora o NTLM possa ser desativado para autenticação pelas empresas, isso pode levar a problemas funcionais com esses aplicativos ou serviços. Para contornar esse problema, a Microsoft introduziu dois novos recursos de autenticação no protocolo Kerberos.
Novos recursos de autenticação que garantem a transição
O primeiro desses novos recursos é a Autenticação inicial e de passagem usando Kerberos (IAKerb). IAKerb é uma extensão do protocolo Kerberos que permite que um cliente se autentique por meio de um servidor que tenha linha de visão para um controlador de domínio, mesmo que o cliente não tenha linha de visão. Isso é possível graças à extensão de autenticação Negotiate, que permite que a pilha de autenticação do Windows atue como um proxy para mensagens Kerberos transmitidas pelo servidor em nome do cliente. O IAKerb conta com os recursos de segurança criptográfica do Kerberos para garantir que as mensagens transmitidas pelo servidor sejam protegidas contra ataques de repetição ou retransmissão. Este tipo de proxy é particularmente útil em cenários onde a rede é segmentada por um firewall ou quando é necessário acesso remoto.
IAKerb oferece uma solução para clientes sem linha de visão para um controlador de domínio, permitindo que eles se autentiquem por meio de um servidor que o faça. Além disso, a Microsoft introduziu o Centro de Distribuição de Chaves (KDC) local para Kerberos, que oferece suporte para autenticação de conta local.
Esses ajustes visam preparar para a eventual descontinuação do NTLM. “A redução do uso de NTLM culminará em sua desativação no Windows 11″, afirmou a Microsoft, descrevendo ainda mais o plano de adotar uma abordagem baseada em dados para monitorar as reduções de uso de NTLM e decidir quando será apropriado desativá-lo totalmente. Após essa decisão, a empresa desativará inicialmente o NTLM por padrão, mas manterá a capacidade de reativá-lo para gerenciar possíveis problemas de compatibilidade. A Microsoft não especificou um cronograma para a implementação dessa transição progressiva.
